Udostępnij za pośrednictwem

Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Dowiedz się, jak wdrożyć usługę Defender for Endpoint w systemie Android na Microsoft Intune Portal firmy zarejestrowanych urządzeniach. Aby uzyskać więcej informacji na temat rejestracji urządzeń Microsoft Intune, zobacz Rejestrowanie urządzenia.

Uwaga

Usługa Defender for Endpoint w systemie Android jest teraz dostępna w sklepie Google Play

Możesz nawiązać połączenie z sklepem Google Play z Microsoft Intune, aby wdrożyć aplikację Defender for Endpoint w trybach rejestracji Administrator urządzenia i Android Enterprise. Aktualizacje do aplikacji są automatyczne za pośrednictwem Sklepu Google Play.

Wdrażanie na urządzeniach zarejestrowanych przez administratora urządzeń

Dowiedz się, jak wdrożyć usługę Defender for Endpoint w systemie Android przy użyciu Microsoft Intune Portal firmy — urządzenia zarejestrowane przez administratora urządzeń.

Dodaj jako aplikację ze sklepu dla systemu Android

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Aplikacje>dla> systemu AndroidDodaj>aplikację ze sklepu dla systemu Android i wybierz pozycję Wybierz.

    Okienko Dodawanie aplikacji ze sklepu dla systemu Android w portalu centrum administracyjnego Microsoft Intune

  2. Na stronie Dodawanie aplikacji i w sekcji Informacje o aplikacji wprowadź:

    Inne pola są opcjonalne. Wybierz pozycję Dalej.

    Strona Dodawanie aplikacji z informacjami o wydawcy i adresie URL aplikacji w portalu centrum administracyjnego Microsoft Intune

  3. W sekcji Przypisania przejdź do sekcji Wymagane i wybierz pozycję Dodaj grupę. Następnie możesz wybrać grupę użytkowników (lub grupy), aby otrzymywać usługę Defender for Endpoint w aplikacji systemu Android. Wybierz pozycję Wybierz , a następnie pozycję Dalej.

    Uwaga

    Wybrana grupa użytkowników powinna składać się z Intune zarejestrowanych użytkowników.

    Okienko Dodawanie grupy na stronie Dodawanie aplikacji w portalu centrum administracyjnego Microsoft Intune

  4. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

    Za kilka chwil aplikacja Defender for Endpoint powinna zostać utworzona pomyślnie, a powiadomienie powinno zostać wyświetlone w prawym górnym rogu ekranu.

    Okienko stanu aplikacji w portalu centrum administracyjnego Microsoft Intune

  5. Na wyświetlonej stronie informacji o aplikacji w sekcji Monitorowanie wybierz pozycję Stan instalacji urządzenia , aby sprawdzić, czy instalacja urządzenia zakończyła się pomyślnie.

    Strona Stan instalacji urządzenia w portalu Microsoft Defender 365

Zakończ dołączanie i sprawdź stan

  1. Po zainstalowaniu usługi Defender for Endpoint w systemie Android na urządzeniu powinna zostać wyświetlona ikona aplikacji.

    Ikona Microsoft Defender ATP wyświetlana w okienku Wyszukiwania

  2. Naciśnij ikonę aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby ukończyć dołączanie aplikacji. Szczegóły obejmują akceptację przez użytkownika końcowego uprawnień systemu Android wymaganych przez usługę Defender for Endpoint w systemie Android.

  3. Po pomyślnym dołączeniu urządzenie zostanie wyświetlone na liście urządzeń w portalu Microsoft Defender.

    Urządzenie w portalu Ochrona punktu końcowego w usłudze Microsoft Defender

Wdrażanie na zarejestrowanych urządzeniach z systemem Android Enterprise

Usługa Defender for Endpoint w systemie Android obsługuje urządzenia zarejestrowane w systemie Android Enterprise.

Aby uzyskać więcej informacji na temat opcji rejestracji obsługiwanych przez Microsoft Intune, zobacz Opcje rejestracji.

Obecnie urządzenia osobiste z profilem służbowym, urządzenia należące do firmy z profilem służbowym i w pełni zarządzane rejestracje urządzeń użytkowników należących do firmy są obsługiwane w systemie Android Enterprise.

Dodawanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android jako zarządzanej aplikacji Google Play

Wykonaj poniższe kroki, aby dodać aplikację Ochrona punktu końcowego w usłudze Microsoft Defender do zarządzanego sklepu Google Play.

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Aplikacje>dla> systemu AndroidDodaj i wybierz pozycję Zarządzana aplikacja Google Play.

    Okienko dodawania aplikacji w portalu centrum administracyjnego Microsoft Intune

  2. Na załadowanej stronie zarządzanego sklepu Google Play przejdź do pola wyszukiwania i wpisz Microsoft Defender. Wyszukiwanie powinno wyświetlać aplikację Ochrona punktu końcowego w usłudze Microsoft Defender w zarządzanym sklepie Google Play. Wybierz aplikację Ochrona punktu końcowego w usłudze Microsoft Defender z wyników wyszukiwania Aplikacje.

    Strona Zarządzanego sklepu Google Play w portalu centrum administracyjnego Microsoft Intune

  3. Na stronie Opis aplikacji powinny być widoczne szczegółowe informacje o aplikacji Defender for Endpoint. Przejrzyj informacje na stronie, a następnie wybierz pozycję Zatwierdź.

    Strona zarządzanego sklepu Google Play w portalu centrum administracyjnego Microsoft Intune

  4. Po wyświetleniu monitu o zatwierdzenie uprawnień do uzyskiwania usługi Defender for Endpoint przejrzyj jego informacje, a następnie wybierz pozycję Zatwierdź.

    Strona zatwierdzania uprawnień w portalu Microsoft Defender 365

  5. Na stronie Ustawienia zatwierdzania sprawdź preferencje obsługi nowych uprawnień aplikacji, o które może poprosić usługa Defender for Endpoint w systemie Android. Przejrzyj wybrane opcje i wybierz preferowaną opcję. Wybierz pozycję Gotowe.

    Domyślnie zarządzany sklep Google Play wybiera pozycję Zachowaj zatwierdzenie, gdy aplikacja żąda nowych uprawnień.

    Strona ukończenia konfiguracji ustawień zatwierdzania w portalu Microsoft Defender 365

  6. Po dokonaniu wyboru obsługi uprawnień wybierz pozycję Synchronizuj, aby zsynchronizować Ochrona punktu końcowego w usłudze Microsoft Defender z listą aplikacji.

    Okienko Synchronizacja w portalu Microsoft Defender 365

  7. Synchronizacja zakończy się w ciągu kilku minut.

    Okienko stanu synchronizacji aplikacji na stronie aplikacje systemu Android w portalu Microsoft Defender 365

  8. Wybierz przycisk Odśwież na ekranie aplikacje systemu Android, a Ochrona punktu końcowego w usłudze Microsoft Defender powinny być widoczne na liście aplikacji.

    Strona wyświetlająca zsynchronizowana aplikacja

  9. Usługa Defender for Endpoint obsługuje zasady konfiguracji aplikacji dla urządzeń zarządzanych za pośrednictwem Microsoft Intune. Ta funkcja może służyć do wybierania różnych konfiguracji dla usługi Defender dla punktu końcowego.

    1. Na stronie Aplikacje przejdź do pozycji Zasady>Zasady Zasady zasady> konfiguracji aplikacjiDodaj>urządzenia zarządzane.

      Okienko Zasady konfiguracji aplikacji w portalu centrum administracyjnego Microsoft Intune

    2. Na stronie Tworzenie zasad konfiguracji aplikacji wprowadź następujące szczegóły:

      • Nazwa: Ochrona punktu końcowego w usłudze Microsoft Defender.
      • Wybierz pozycję Android Enterprise jako platformę.
      • Wybierz tylko profil służbowy należący do użytkownika lub w pełni zarządzany, dedykowany i należący do firmy profil służbowy tylko jako typ profilu.
      • Wybierz pozycję Wybierz aplikację, wybierz pozycję Microsoft Defender, wybierz przycisk OK, a następnie pozycję Dalej.

      Zrzut ekranu przedstawiający okienko Skojarzone szczegóły aplikacji.

    3. Wybierz pozycję Uprawnienia>dodaj. Z listy wybierz dostępne uprawnienia aplikacji>OK.

    4. Wybierz opcję dla każdego uprawnienia do udzielenia za pomocą tych zasad:

      • Monituj — Polecenia użytkownika do zaakceptowania lub odrzucenia.
      • Automatyczne udzielanie — automatycznie zatwierdza bez powiadamiania użytkownika.
      • Automatyczne odmawianie — automatycznie odmawia bez powiadamiania użytkownika.

    5. Przejdź do sekcji Ustawienia konfiguracji i wybierz pozycję "Użyj projektanta konfiguracji" w formacie ustawień konfiguracji.

      Obraz przedstawiający zasady konfiguracji aplikacji tworzenia aplikacji dla systemu Android.

    6. Wybierz pozycję Dodaj , aby wyświetlić listę obsługiwanych konfiguracji. Wybierz wymaganą konfigurację i wybierz przycisk OK.

      Obraz przedstawiający wybieranie zasad konfiguracji dla systemu Android.

    7. Powinny zostać wyświetlone wszystkie wybrane konfiguracje na liście. Możesz zmienić wartość konfiguracji zgodnie z potrzebami, a następnie wybrać przycisk Dalej.

      Obraz przedstawiający wybrane zasady konfiguracji.

    8. Na stronie Przypisania wybierz grupę użytkowników, do której zostaną przypisane te zasady konfiguracji aplikacji. Wybierz pozycję Wybierz grupy do uwzględnienia i wybierając odpowiednią grupę, a następnie wybierz pozycję Dalej. Wybrana w tym miejscu grupa jest zwykle tą samą grupą, do której należy przypisać Ochrona punktu końcowego w usłudze Microsoft Defender aplikacji systemu Android.

      Okienko Wybrane grupy

    9. Na następnej stronie Przeglądanie i tworzenie przejrzyj wszystkie informacje, a następnie wybierz pozycję Utwórz.

      Zasady konfiguracji aplikacji dla usługi Defender for Endpoint są teraz przypisywane do wybranej grupy użytkowników.

  10. Wybierz pozycję Microsoft Defender aplikacji na liście >Właściwości>PrzypisaniaEdytuj>.

    Opcja Edytuj na stronie Właściwości

  11. Przypisz aplikację jako wymaganą aplikację do grupy użytkowników. Jest on automatycznie instalowany w profilu służbowym podczas następnej synchronizacji urządzenia za pośrednictwem aplikacji Portal firmy. To przypisanie można wykonać, przechodząc do sekcji >WymaganeDodaj grupę, wybierając odpowiednią grupę użytkowników, a następnie wybierając pozycję Wybierz.

    Strona Edytowanie aplikacji

  12. Na stronie Edytowanie aplikacji przejrzyj wszystkie wprowadzone wcześniej informacje. Następnie wybierz pozycję Przejrzyj i zapisz , a następnie ponownie zapisz , aby rozpocząć przypisywanie.

Automatyczna instalacja zawsze włączonej sieci VPN

Usługa Defender for Endpoint obsługuje zasady konfiguracji urządzeń zarządzanych za pośrednictwem Microsoft Intune. Ta funkcja może służyć do automatycznego konfigurowania zawsze włączonej sieci VPN na urządzeniach zarejestrowanych w systemie Android Enterprise, więc użytkownik końcowy nie musi konfigurować usługi sieci VPN podczas dołączania.

  1. Na urządzeniach wybierz pozycję Profile konfiguracji> Utwórzplatformę>profilu>Android Enterprise. Wybierz pozycję Ograniczenia urządzenia w ramach jednej z następujących opcji na podstawie typu rejestracji urządzenia:

    • W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy
    • Profil służbowy należący do użytkownika

    Następnie wybierz pozycję Utwórz.

    Element menu Profile konfiguracji w okienku Zasady

  2. Ustawienia konfiguracji. Podaj nazwę i opis , aby jednoznacznie zidentyfikować profil konfiguracji.

    Pola Nazwa i opis profilu konfiguracji urządzeń w okienku Podstawy

  3. Wybierz pozycję Łączność i skonfiguruj sieć VPN:

    • Włącz zawsze włączoną sieć VPN. Skonfiguruj klienta sieci VPN w profilu służbowym, aby w miarę możliwości automatycznie łączyć się i ponownie łączyć z siecią VPN. Dla zawsze włączonej sieci VPN na danym urządzeniu można skonfigurować tylko jednego klienta sieci VPN, dlatego upewnij się, że na jednym urządzeniu wdrożono nie więcej niż jedną zawsze włączoną zasadę sieci VPN.

    • Wybierz pozycję Niestandardowe na liście rozwijanej klienta sieci VPN. Niestandardowa sieć VPN w tym przypadku to sieć VPN usługi Defender for Endpoint, która jest używana do udostępniania funkcji ochrony sieci Web.

      Uwaga

      Ochrona punktu końcowego w usłudze Microsoft Defender aplikacja musi być zainstalowana na urządzeniu użytkownika, aby działała automatyczna konfiguracja tej sieci VPN.

    • Wprowadź identyfikator pakietu aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender w sklepie Google Play. W przypadku adresu URL aplikacji Defender identyfikatorem pakietu jest com.microsoft.scmx.

    • Ustaw opcję Tryb blokady na Wartość Nieskonfigurowane (wartość domyślna).

      Okienko Łączność na karcie Ustawienia konfiguracji

  4. Przypisanie. Na stronie Przypisania wybierz grupę użytkowników, do której zostaną przypisane te zasady konfiguracji aplikacji. Wybierz pozycję Wybierz grupy do uwzględnienia i wybierając odpowiednią grupę, a następnie wybierz pozycję Dalej.

    Grupa do wybrania jest zazwyczaj tą samą grupą, do której należy przypisać Ochrona punktu końcowego w usłudze Microsoft Defender aplikacji systemu Android.

    Zrzut ekranu przedstawiający okienko Przypisania profilu konfiguracji urządzeń w obszarze Ograniczenia urządzenia.

  5. Na następnej stronie Przeglądanie i tworzenie przejrzyj wszystkie informacje, a następnie wybierz pozycję Utwórz. Profil konfiguracji urządzenia jest teraz przypisany do wybranej grupy użytkowników.

    Aprowizowanie profilu konfiguracji urządzeń na potrzeby przeglądania i tworzenia

Sprawdzanie stanu i ukończenie dołączania

  1. Potwierdź stan instalacji Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android, klikając pozycję Stan instalacji urządzenia. Sprawdź, czy urządzenie jest wyświetlane tutaj.

    Okienko stanu instalacji urządzenia

  2. Na urządzeniu możesz zweryfikować stan dołączania, przechodząc do profilu służbowego. Upewnij się, że usługa Defender for Endpoint jest dostępna i że jesteś zarejestrowany na urządzeniach należących do użytkownika z profilem służbowym. Jeśli jesteś zarejestrowany na firmowym, w pełni zarządzanym urządzeniu użytkownika, masz na urządzeniu jeden profil, w którym możesz potwierdzić, że usługa Defender for Endpoint jest dostępna.

    Okienko wyświetlania aplikacji

  3. Po zainstalowaniu aplikacji otwórz aplikację i zaakceptuj uprawnienia, a następnie dołączanie powinno zakończyć się pomyślnie.

    Wyświetlanie aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu przenośnym

  4. W tym momencie urządzenie zostało pomyślnie dołączone do usługi Defender for Endpoint w systemie Android. Możesz to sprawdzić w portalu Microsoft Defender, przechodząc do strony Spis urządzeń.

    Portal Ochrona punktu końcowego w usłudze Microsoft Defender

Konfigurowanie dołączania przy niskim poziomie dotyku

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Informacje przedstawione w tej sekcji dotyczą produktu wstępnego, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Administratorzy mogą skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender w trybie dołączania przy użyciu niskiego poziomu dotyku. W tym scenariuszu administratorzy tworzą profil wdrożenia, a użytkownik musi zapewnić ograniczony zestaw uprawnień do ukończenia dołączania.

Dołączanie z niskim poziomem dotyku systemu Android jest domyślnie wyłączone. Administratorzy mogą ją włączyć za pośrednictwem zasad konfiguracji aplikacji na Intune, wykonując następujące kroki:

  1. Wypchnij aplikację Defender do docelowej grupy użytkowników, wykonując kroki opisane w sekcji Dodawanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android jako zarządzanej aplikacji Google Play (w tym artykule).

  2. Wypchnij profil sieci VPN na urządzenie użytkownika, postępjąc zgodnie z instrukcjami w sekcji Automatyczna konfiguracja zawsze włączonej sieci VPN (w tym artykule).

  3. W obszarzeZasady konfiguracji aplikacjiaplikacji> wybierz pozycję Urządzenia zarządzane.

  4. Podaj nazwę, aby jednoznacznie zidentyfikować zasady.

    • W obszarze Platforma wybierz pozycję Android Enterprise.
    • Wybierz wymagany typ profilu.
    • Dla aplikacji docelowej wybierz pozycję Microsoft Defender: Antivirus.

    Następnie wybierz pozycję Dalej.

  5. Dodaj uprawnienia środowiska uruchomieniowego. Wybierz pozycję Dostęp do lokalizacji (w porządku),POST_NOTIFICATIONS i zmień stan uprawnienia na Auto grant. (To uprawnienie nie jest obsługiwane w systemie Android 13 lub nowszym).

  6. W obszarze Ustawienia konfiguracji wybierz pozycję Use Configuration designer, a następnie wybierz pozycję Dodaj.

  7. Wybierz pozycję Low touch onboarding (Niski poziom dołączania dotykowego) i User UPN (Nazwa UPN użytkownika). W przypadku nazwy UPN użytkownika zmień typ wartości na Variablei ustaw wartość konfiguracji na User Principal Name. Włącz dołączanie przy użyciu funkcji low-touch, zmieniając jego wartość konfiguracji na 1.

    Zrzut ekranu przedstawiający zasady konfiguracji dołączania z małym dotknięciem.

Uwaga

Po utworzeniu zasad te typy wartości będą wyświetlane jako ciąg.

  1. Przypisz zasady do docelowej grupy użytkowników.

  2. Przejrzyj i utwórz zasady.

Konfigurowanie Microsoft Defender w profilu osobistym w systemie Android Enterprise w trybie BYOD

Konfigurowanie Microsoft Defender w profilu osobistym

Administratorzy mogą przejść do centrum administracyjnego usługi Microsoft Endpoint Management, aby skonfigurować i skonfigurować obsługę Microsoft Defender w profilach osobistych, wykonując następujące kroki:

  1. Przejdź do pozycji Zasady konfiguracji aplikacji aplikacji> i kliknij pozycję Dodaj. Wybierz pozycję Urządzenia zarządzane.

    Obraz przedstawiający dodawanie zasad konfiguracji aplikacji.

  2. Wprowadź nazwę i opis , aby jednoznacznie zidentyfikować zasady konfiguracji. Wybierz platformę jako "Android Enterprise", typ profilu jako "Tylko profil służbowy należący do użytkownika", a aplikację docelową jako "Microsoft Defender".

    Obraz przedstawiający zasady konfiguracji nazewnictwa.

  3. Na stronie ustawień w obszarze "Format ustawień konfiguracji" wybierz pozycję "Użyj projektanta konfiguracji", a następnie kliknij pozycję Dodaj. Z wyświetlonej listy konfiguracji wybierz pozycję "Microsoft Defender w profilu osobistym".

    Obraz przedstawiający konfigurowanie profilu osobistego.

  4. Zostanie wyświetlona wybrana konfiguracja. Zmień wartość konfiguracji na 1, aby włączyć Microsoft Defender obsługę profilów osobistych. Zostanie wyświetlone powiadomienie informujące administratora o tym samym. Kliknij przycisk Dalej.

    Obraz przedstawiający zmianę wartości konfiguracji.

  5. Przypisz zasady konfiguracji do grupy użytkowników. Przejrzyj i utwórz zasady.

    Obraz przedstawiający przeglądanie i tworzenie zasad.

Administratorzy mogą również skonfigurować mechanizmy kontroli prywatności z poziomu centrum administracyjnego Microsoft Intune, aby kontrolować, jakie dane mogą być wysyłane przez klienta mobilnego usługi Defender do portalu zabezpieczeń. Aby uzyskać więcej informacji, zobacz konfigurowanie mechanizmów kontroli prywatności.

Organizacje mogą komunikować się ze swoimi użytkownikami w celu ochrony profilu osobistego za pomocą Microsoft Defender na zarejestrowanych urządzeniach BYOD.

  • Wymagania wstępne: Microsoft Defender musi być już zainstalowana i aktywna w profilu służbowym, aby włączyć Microsoft Defender w profilach osobistych.

Zakończ dołączanie urządzenia

  1. Zainstaluj aplikację Microsoft Defender w profilu osobistym przy użyciu osobistego konta sklepu Google Play.

  2. Zainstaluj aplikację Portal firmy w profilu osobistym. Logowanie nie jest wymagane.

  3. Po uruchomieniu aplikacji przez użytkownika zostanie wyświetlony ekran logowania. Zaloguj się tylko przy użyciu konta firmowego.

  4. Po pomyślnym zalogowaniu użytkownicy zobaczą następujące ekrany:

    1. Ekran umowy EULA: prezentowany tylko wtedy, gdy użytkownik nie wyraził jeszcze zgody w profilu służbowym.
    2. Ekran powiadomienia: użytkownicy muszą wyrazić zgodę na tym ekranie, aby kontynuować dołączanie aplikacji. Jest to wymagane tylko podczas pierwszego uruchomienia aplikacji.

  5. Podaj wymagane uprawnienia do ukończenia dołączania.

    Uwaga

    Wymagania wstępne:

    1. Portal firmy musi być włączony w profilu osobistym.
    2. Microsoft Defender musi być już zainstalowany i aktywny w profilu służbowym.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.